Должен ли я проверять HTTP Referer в обратном вызове OAuth 2?

Я успешно могу аутентифицировать учетные записи Facebook и Google, используя свои сервлеты Oauth2. Я использую состояние с таймером и файлом cookie сеанса, чтобы попытаться убедиться, что это действительно законный обратный вызов Oauth.

1. Есть ли какие-либо преимущества, если я также проверю заголовок HTTP Referer, чтобы убедиться, что меня перенаправили со страницы OAuth провайдера?

2. Если пользы нет, могут ли возникнуть проблемы, если я также проверю поле HTTP Referer?